ニュース
「Google Chrome 80」が正式リリース ~開発者は“SameSite Cookie”の仕様変更に注意
脆弱性の修正は56件
2020年2月5日 09:30
米Googleは2月4日(現地時間)、デスクトップ向け「Google Chrome」の最新安定版v80.0.3987.87を公開した。メジャーバージョンアップとなる「Google Chrome 80」では多くの変更が加えられているが、なかでも“SameSite Cookie”の扱いが変わるのは広範囲な影響が予想されており、注意が必要だ。
Webサイトの広告やお勧めコンテンツの提案といった機能は、サードパーティー(外部)サービスとの連携により実現されているものが多い。ウィジェットやSNSメディアの埋め込みなどもそれに含まれるが、そのなかには外部サービスのCookieをWebブラウザーに保存し、ドメインをまたいでも表示設定を維持できるようにしたり、閲覧情報の計測に用いることがある。
しかし、こうしたサードパーティーのクロスサイトCookieは便利な一方、悪用によりユーザーのプライバシーとセキュリティを損なうケースも目立ってきた。本来はCookieの設定を“SameSite=Lax”または“SameSite=Strict”にしてアクセスを適切にコントロールすべきだが、この推奨手法に従う開発者はほとんどいないのが実情だ。
そこで「Google Chrome 80」ではCookieの扱いを見直し、“SameSite”属性の初期値を“None”から“Lax”に変更する。従来のようにWebサイトをまたいで(クロスサイト)Cookieを利用できるようにするには、明示的に“SameSite=None”を指定する必要があるほか、クロスサイトCookieへのアクセスをHTTPS接続に限定するため“Secure”属性を追加する必要がある。同様の取り組みは「Firefox」でも行われており、「Microsoft Edge」でも実施される予定。Cookieの管理をより厳格にすることで、ユーザーのプライバシーが強化されるだけでなく、クロスサイトリクエストフォージェリ(CSRF)攻撃の脅威低減も期待される。
そのほかにも、FTP接続の非推奨化や鬱陶しいWeb通知の許可プロンプトの削減、混合コンテンツの排除などが進められる予定。Web開発者の対応負担は大きくなるが、いずれもユーザーにとっては歓迎すべき変更と言えるだろう。
さらに、本バージョンでは56件の脆弱性が修正された。脆弱性の深刻度の内訳は、同社基準で4段階中上から2番目の“High”が10件、上から3番目の“Medium”が17件、最低の“Low”が10件など。また、内部監査やファジングによって発見されたセキュリティ問題への対応も行われている。
デスクトップ向け「Google Chrome」はWindows/Mac/Linuxに対応しており、現在、同社のWebサイトから無償でダウンロード可能。Windows版は、64bit版を含むWindows 7/8/8.1/10に対応する。すでにインストールされている場合は自動で更新されるが、設定画面(chrome://settings/help)から手動でアップデートすることも可能。
なお、Windows 7の一般向けサポートはすでに終了しているが、「Google Chrome」は少なくとも2021年7月15日までサポートを維持する方針だ。